Kwiecień 2026 roku okazał się «czarnym miesiącem» dla DeFi, kiedy całkowite straty z powodu hacków przekroczyły 640 mln dolarów. Atak na Drift Protocol stał się największym hackiem w historii Solany, pokazując, że główną słabością współczesnych protokołów nie jest kod, ale czynnik ludzki oraz «zepsute» łańcuchy zaufania w zespołach.
Jeśli wcześniej hakerzy szukali dziur w matematyce smart kontraktów, to teraz grają w 'długą grę'. Hacking Drift był przygotowywany przez pół roku: przestępcy zyskali zaufanie do deweloperów, udając szanowaną firmę, aby w odpowiednim momencie jednym uderzeniem wyprowadzić setki milionów dolarów. Przyjrzyjmy się bliżej.
Punkt wejścia ataku
Punktem wejścia była inżynieria społeczna. Hakerzy pod przykrywką przedstawicieli firmy zajmującej się tradingiem ilościowym przez 6 miesięcy komunikowali się z zespołem Drift na konferencjach i w prywatnych czatach. Poprzez złośliwe linki do repozytoriów kodu skompromitowali urządzenia sygnatariuszy portfeli multisig.
Miejsce zdarzenia
Zyskując dostęp do podpisów rady bezpieczeństwa, hakerzy wyłączyli opóźnienie aktualizacji protokołu. Stworzyli fiktywny aktyw CarbonVote Token (CVT), sztucznie podnieśli jego cenę przez wewnętrzne operacje i zmusili oracle Drift do uznania go za legalne zabezpieczenie o wartości setek milionów dolarów. Pod zabezpieczenie tego 'śmiecia' natychmiast wypożyczyli i wyprowadzili prawdziwe aktywa (USDC, SOL, ETH).
Prostymi słowami
Aby zrozumieć, co zrobili hakerzy, wyobraź sobie zautomatyzowany bank, który działa bez ludzi — tylko według programu.
Przygotowanie i zaufanie
Hakerzy nie łamali drzwi banku, nie schodzili przez wentylację, jak w pięknych filmach akcji, ani nie konstruowali supertechnologicznych urządzeń. Zamiast tego przez pół roku udawali szanowanych klientów i ekspertów. Tak dobrze zaufali właścicielom, że ci dali im 'klucz administratora', który pozwalał dodawać w banku nowe rodzaje aktywów, pod które można brać kredyty.
Tworzenie 'cennych aktywów'
Przestępcy stworzyli własną monetę-pustkę. Na wolnym rynku nie była warta nic. Ale mając dostęp do ustawień banku, hakerzy dodali tę monetę do listy cennych aktywów.
Nadmuchanie ceny
Dzięki specjalnym manipulacjom wewnątrz systemu, sprawili, że systemy bankowe uwierzyły, że ten 'aktywa' jest droższy niż złoto. Po prostu przenosili tę monetę między swoimi portfelami po astronomicznych cenach, a komputer bankowy uwierzył: 'Wow, ten aktyw jest bardzo popularny i drogi!'.
Główny akt
Hakerzy przynoszą do banku całą walizkę swoich darmowych 'cennych aktywów'. Inteligentny system widzi 'skarb' i zgodnie z zasadami wydaje pod jego zabezpieczenie prawdziwe pieniądze (USDC i SOL), które w kasie pozostawili zwykli ludzie.
Odejście i legalizacja
Większość funduszy ($285 mln) została wyprowadzona przez most Circle CCTP do ekosystemu Ethereum w ciągu pierwszych godzin. Następnie przestępcy użyli protokołu THORChain do konwersji aktywów na Bitcoin, ponieważ ta droga jest obecnie najtrudniejsza do zablokowania.
Kto stoi za atakiem
Firmy analityczne Chainalysis i TRM Labs z wysoką pewnością przypisują atak północnokoreańskiej grupie UNC4736 (znanej również jako AppleJeus lub Citrine Sleet), która wcześniej zhakowała Radiant Capital.
Zespoły śledcze
Drift Labs i zespół bezpieczeństwa
Zespół bezpieczeństwa Drift wspólnie z grupą szybkiej reakcji, specjalizującą się w takich incydentach, przeprowadził audyt techniczny, wykrył skompromitowane podpisy i zablokował funkcje protokołu, aby uratować resztki funduszy.
Arbitrum Security Council
Chociaż atak rozpoczął się na Solana, znaczna część funduszy przepływała przez sieć Arbitrum, gdzie rada bezpieczeństwa koordynowała działania z śledczymi.
FBI (Cyber Division)
Przeprowadza identyfikację przestępców i śledzi powiązania z organami państwowymi Korei Północnej.
Tether
Odegrali kluczową rolę, szybko blokując znaczną część skradzionych funduszy w stablecoinach USDT. Chainalysis i TRM Labs dostarczają narzędzia do śledzenia 'brudnych' pieniędzy w czasie rzeczywistym przez mixery i mosty między łańcuchami.
Rekompensata
Dzięki szybkiej reakcji i pomocy emitentów stablecoinów (w szczególności Tether), część funduszy udało się zamrozić. Na dzień dzisiejszy opracowano pakiet odbudowy, który pokrywa około 52% utraconych aktywów użytkowników.
Lekcja dla całej branży
Hacking Drift i Kelp DAO w 2026 roku oznaczał nową erę zagrożeń cybernetycznych — przejście od technicznych exploitów do głębokiej infiltracji społecznej. To lekcja dla całej branży: bezpieczeństwo zaczyna się nie od audytu kodu, a od weryfikacji tych, którzy ten kod piszą i podpisują.